Berbicara mengenai sistem keamanan memang gak habis-habisnya. Banyak topik dan subjek yang terlibat didalamnya. Pada artikel PCMedia edisi Juni 2010, gw tidak mengangkat terlalu teknis mengenai sistem keamanan tapi kesadaran akan pentingnya keamanan pada produk software. SDLC yang banyak diterapkan kebanyakan security architecture dipikirkan belakangan kalau produk software sudah selesai. Inilah awal dari permasalahan sistem keamanan.

Security Development Lifecycle atau disingkat dengan SDL adalah  proses penjaminan kualitas keamanan pada perangkat lunak yang sedang dibuat. Microsoft secara intensif dan memasukkan dalam policy program sejak tahun 2004 yang diterapkan dalam setiap pengembangan produk yang dibuat. Dengan mengkombinasikan pendekatan holistik dan praktis, SDL memperkenalkan keamanan dan privacy pada seluruh proses pengembangan perangkat lunak.

Saat ini penerapan SDL pada pengembangan perangkat lunak sangatlah penting karena berdasarkan target yang diserang sistem keamanan menunjukkan bahwa aplikasi adalah target yang paling banyak diserang sistem keamanannya.  Berdasarkan laporan Microsoft Security Intelligence Report volume 7  untuk interval waktu Januari sampai Juni 2009 menunjukkan aplikasi banyak diserang sistem keamanannya dan selanjutnya disusul dengan browser serta Sistem Operasi. Cek gambar dibawah

Sedangkan berdasarkan laporan IBM Internet Security System X-Force tahun 2008 (Cek gambar dibawah) menunjukkan bahwa hanya sekitar 11% serangan sistem keamanan pada 5 vendor software besar yaitu Microsoft, Oracle, IBM, Apple, dan Cisco. Ini artinya sekitar 89% serangan sistem keamanan terjadi pada produk perangkat lunak yang dibuat oleh selain 5 vendor software besar dan mungkin itu termasuk aplikasi software yang kita buat.

Penerapan SDL Pada Agile Development

Banyak sekali organisasi menerapkan Agile software development untuk pengembangan perangkat lunak. Di internal Microsoft sendiri, metologi Agile ini juga diterapkan dalam pembuatan produk perangkat lunak. Pada awalnya metodologi Agile tidak memberikan perhatian khusus untuk sistem keamanan dari perangkat lunak yang dibuat. Pada saat keamanan menjadi perhatian khusus pengguna maka metodologi Agile juga memberikan perhatian untuk diterapkannya sistem keamanan.

Microsoft memulai pengembangan perangkat lunak dengan memberikan perhatian pada sistem keamanan yang dikenal dengan SDL. Dengan diterapkan SDL ini, Microsoft dapat mengurangi celah sistem keamanan pada produknya lebih dari 50%. Penerapakan SDL memang cukup berat terutama pada produk besar seperti Windows dan Microsoft Office.

Lebih lengkapnya, bisa membaca pada artikel gw pada majalah PCMedia edisi Juni 2010. Semoga berguna.

Ini pengalaman gw mengenai Altaris dan ASP.NET. Sebulan lalu, gw mengerjakan project reporting berbasis ASP.NET. Setelah selesai dibuat, gw deploy ke web server dimana didalamnya juga diinstall Altaris. Setelah diregister ASP.NET 2.0 ke IIS rupanya aplikasi ASP.NET tidak bisa dijalankan. Kalau di browse via IE akan error

Server Unavailable

Dan kalau di cek pada bagian eventlog maka kita memperoleh error message sebagai berikut

Failed to execute request because the App-Domain could not be created

Solusi

Setelah coba sana-sani dan analisa sekuriti, rupanya ISAPI Altaris melakukan block ISAPI ASP.NET sehingga solusinya remove ISAPI Altaris dari website. Sekarang anda happy

MBSA (Microsoft® Baseline Security Analyzer) adalah tool yang dapat melakukan pengecekan apakah ada konfigurasi yang salah. Dengan konfigurasi yang salah maka ini akan berpotensi menimbulkan resiko sekuriti pada komputer tersebut. Tool ini dapat melakukan pengecekan pada OS

• Windows 2000
• Windows XP
• Windows Server 2003
• Windows Vista
• Windows 2008

Tool ini dapat melakukan pengecekan satu atau lebih komputer sekaligus. Pokoknya top deh .

Getting Started

Untuk menggunakan tool ini, anda harus mengunduhnya, MBSA 2.1, di website Microsoft dengan alamat http://www.microsoft.com/downloads/details.aspx?FamilyID=F32921AF-9DBE-4DCE-889E-ECF997EB18E9&displaylang=en

Pilih sesuai dengan platform komputer yang akan diinstall untuk tool ini.

MBSA Installation

MBSA 2.1 ada dua versi platform yaitu x86 dan x64. Sesuaikan dengan platform yang dimiliki, misalkan untuk x86 file MBSA 2.1 yaitu MBSASetup-x86-EN.msi.

Klik dua kali file MSI ini sehingga kita akan mendapat wizard installation seperti dibawah

Ikut proses intalasinya hingga selesai

How To Use

Setelah proses instalasi selesai, klik aplikasi MBSA. Berikut ini tampilan MBSA 2.1

Penggunaan sangat-sangat mudah. Cukup mau scan sebuah komputer atau banyak komputer. Misalkan kita mau scan komputer kita. Klik Scan a computer

Isi nama komputer. Centang opsi yang ingin dilakukan scanning. Jika selesai, klik tombol Start Scan. Mudah kan . Kalau sekiranya lama bisa ditinggal sambil maen fesbukan .

Reporting

Setelah selesai melakukan scanning, hasil reporting dapat dilihat. Berikut ini contoh hasil reporting

Kalau sudah begini, siap-siap deh para admin disuruh scan semua komputer yang ada…lembur lagi . Ok, semoga bermanfaat artikel ini. Kalau ada yang ditanyakan post aja disini…

MSAT (Microsoft Security Assessment Tool) adalah tool yang berguna untuk mengidentifikasi dan mitigasi mengenai business risk yang muncul pada perusahan atau organisasi kita. Tool ini memanfaatkan pendekatan questioner. Pertanyaannya sekitar resiko keamanan pada teknologi, proses dan orang-orang yang support kelangsungan bisnis.

Getting Started

Tool ini dapat diunduh secara gratis di website Microsoft di URL: http://www.microsoft.com/downloads/details.aspx?FamilyID=CD057D9D-86B9-4E35-9733-7ACB0B2A3CA1&displaylang=en

MSAT Installation

Setelah mengunduh tool MSAT yaitu MSATEnglish.zip maka lakukan ekstrak file ZIP ini. Hasil ekstrasi, cari file MSAT40en.msi dan klik dua kali file ini.

Selanjutnya ikuti wizard instalasi ini.

How to Use

Setelah selesai instalasi, langsung kita jalankan aplikasi maka kita akan dapatkan tampilan seperti gambar dibawah

Pertama-tama, kita harus membuat profile baru. Klik tombol New maka kita akan mendapatkan kotak dialog seperti gambar dibawah

Jika selesai klik tombol OK. Jika selesai kita akan melihat aplikasi MSAT secara keseluruhan. Selanjutnya kita dapat memulai melakukan assessment. Pertama assessment mengenai pertanyaan dasar mengenai

• Basic information
• Infrastructure security
• Application security
• Operations security
• People security
• Environment

Nah, baru deh anda korek-korek customer atau perusahan anda untuk mengisi questioner . Ingat, nanya ke customer/client/perusahan jangan seperti kayak polisi nanya ke pencuri . Selain itu, jawabannya jangan kelamaan, ntar kayak ujian negara aja….santai aja sembari minum kopi…

Kalau udah selesai, jangan kabur dulu   karena belum selesai. Jika selesai akan muncul tombol Create New Assessment.

Selanjutnya klik tombol Create New Assessment sehingga akan muncul kotak dialog seperti gambar dibawah ini

Klik tombol New, kemudian akan muncul kotak dialog. Isi nama assessment

Jika selesai klik tombol OK. Selanjutnya akan muncul daftar pertanyaan berdasarkan questioner yang diisi sebelumnya

Isi semua pertanyaan ini. Jika selesai, nanti akan muncul tombol Reports

Kalau udah muncul tombol Reports artinya assessment sudah kelar. Sekarang baru deh, yang mau ke kamar kecil pergi dulu sebelum terkencing-kencing sendiri melihat hasil assessment nya .

Reporting

Untuk melihat hasil reporting assessment nya, cukup klik tombol Reports. Berikut ini contoh hasil reporting

Semoga berguna artikel ini. Jika ada pertanyaan post disini saja cukup….